Ein macOS-Entwickler hat einen Exploit für das Apple-Betriebssystem erstellt, der in der Lage ist, Einstellungen für die Dateisicherheit und den Datenschutz auszuhebeln. Betroffen ist das sogenannte Transparency, Consent and Control (TCC) Framework, das Apple 2018 mit macOS 10.14 Mojave eingeführt hatte. Angreifbar sind laut einem Bericht von AppleInsider auch macOS 10.15 Catalina und die Entwickler-Beta von macOS 11 Big Sur.
Das TCC-Framework regelt Zugriffe auf bestimmte geschützte Dateien und Ordner. In seinem Blog nennt de Entwickler Jeff Johnson, der die zugehörige Schwachstelle entdeckt hat, den Ordner „Library/Safari“, auf den andere Apps nur mit ausdrücklicher Genehmigung zugreifen dürften.
Die Schutzfunktion soll sich aber durch zwei schwerwiegende Fehler umgehen lassen. Zum einen soll das System die Code-Signatur einer App unzureichend prüfen. Zum anderen sieht das Framework Ausnahmen basierend auf einem Bundle-Identifier vor, statt sich auf bestimmte Dateipfade zu beschränken.
„So kann ein Angreifer eine Kopie einer Anwendung an einem anderen Ort auf der Festplatte erstellen, die Ressourcen der Kopie ändern, und die Kopie der Anwendung mit geänderten Ressourcen hat immer noch den gleichen Dateizugriff wie die Originalanwendung, in diesem Fall Safari“, schreibt der Entwickler.
In dem von ihm entwickelten Beispiel hat eine modifizierte Version von Safari Zugang zu geschützten Dateien, die sie an einen Server im Internet übermittelt. Die speziell gestaltete Safari-Version lädt der Entwickler bei seinem Angriff mithilfe einer anderen App herunter. Diese Aufgabe könnte jede andere über das Internet angebotene App für macOS übernehmen.
Ursprünglich legte Johnson seine Erkenntnisse gegenüber Apple im Rahmen des Security Bounty Program des Unternehmens offen, und zwar schon im Dezember 2020. Schließlich sei ihm zugesagt worden, die Lücken würden im Frühjahr 2020 geschlossen. Sie seien aber auch noch in der Beta von macOS Big Sur vorhanden.
Johnson räumt zudem ein, dass die von ihm entdeckten Bugs lediglich die Sicherheit von macOS Mojave, Catalina und Big Sur auf den Stand von macOS High Sierra und früher zurücksetzen. Nutzer müssten also für sich entscheiden, ob dies für sie relevant sei. Eine Gefahr besteht zudem wahrscheinlich nur bei Apps, die nicht über den Mac App Store bezogen wurden.
Quelle: Schwachstelle in macOS umgeht Datenschutz- und Sicherheitseinstellungen | ZDNet.de
Update 06.07.2020:
macOS Big Sur: Apple schließt Hintertür für Adware-Apps
Es entfällt die Möglichkeit zur stillen Installation von Konfigurationsprofilen. macOS Bigs Sur betrachtet Profile künftig stets als heruntergeladene Dateien. Die Installation eines Profils ist somit nicht mehr ohne Interaktion mit einem Nutzer möglich.
Apple wird mit macOS 11 Big Sur eine Hintertür schließen, die Cyberkriminelle benutzt haben, um Adware und andere schädliche Programme einzuschleusen. Unter der neuen OS-Version ist es nicht mehr möglich, Konfigurationsprofile ohne Wissen des Nutzers von der Befehlszeile aus zu installieren.
Die Funktion gehörte bisher zum Enterprise Package von macOS. Sie erlaubt es Administratoren, über automatisierte Skripts unternehmensweit neue Konfigurationsprofile einzurichten. Bei Hackern war sie beliebt, weil sie auch die Installation von Schadsoftware ohne Interaktion mit einem Nutzer erlaubte.
Zu diesem Zweck war es lediglich erforderlich, die Kontrolle über einen Mac Deployment Server zur erhalten oder zumindest einen Mac mit einer Malware zu infizieren. Anschließend konnten sie über die Befehlszeile eine eigene Konfiguration anwenden und beispielsweise die Standard-Apps verändern oder die Proxy-Einstellungen bearbeiten.
Die Installation von Profilen über die Befehlszeile ist zwar weiterhin möglich, aber eben nicht mehr ohne Nutzerinteraktion. „Ab macOS Big Sur können Sie Profile nicht mehr vollständig über Terminal installieren“, kündigte Kevin Milden, Interface Designer bei Apple, während eines Vortrags auf der WWDC 2020 an. Über die Befehlszeile installierte Profile würden so behandelt, es seien sie aus dem Internet heruntergeladen worden. Nutzer müssten den Vorgang manuell abschließen.
Es ist zwar nicht ausgeschlossen, dass auch künftig Schadsoftware über Konfigurationsprofile eingeschleust wird, die neuen Einschränkungen machen die Methode jedoch ineffektiver beziehungsweise setzen mehr Social Engineering, also eine bessere Täuschung von Nutzern, voraus.
Lob für die Änderung erhielt Apple unter anderem vom Sicherheitsanbieter Malwarebytes. „Apple hat genau das getan, was ich mir erhofft hatte, um mit der Plage der Adware fertig zu werden, die bösartige Konfigurationsprofile installiert“, kommentierte Thomas Reed, Director des Bereichs Mac & Mobile bei Malwarebytes.
macOS 11 Big Sur liegt derzeit nur als Entwicklerversion vor. Wahrscheinlich noch in diesem Monat soll ein öffentlicher Betatest starten. Die finale Version wird im Herbst erwartet.
Quelle: macOS Big Sur: Apple schließt Hintertür für Adware-Apps | ZDNet.de
Update 13.07.2020:
[/u]macOS-Sicherheitslücke: Komplettes Dateisystem ohne Zugriffsrechte auslesbar
In mount_apfs steckte ein Bug, der Apples Systemschutz zumindest read-only aushebeln konnte. Ein Fix ist da, doch der ist eher ungewöhnlich.
Im macOS-Terminalwerkzeug mount_apfs steckte bis vor kurzem ein Fehler, der es einem auf dem Mac eingeloggten Angreifer ohne die notwendigen Rechte ermöglichte, das komplette Dateisystem auszulesen. Entdeckt hat das Problem der Sicherheitsforscher Csaba Fitzl, der es auch an Apple gemeldet hat. Der Bug mit der CVE-ID 2020-9771 wurde in macOS 10.15.4 behoben – allerdings auf eine Art, die potenziell umgangen werden kann.
Snapshots sind der Trick
Die Lücke in mount_apfs erlaubte es, das Filesystem in Gänze als Read-only mit noowners-Flag zu mounten – der Trick lag darin, APFS-Time-Machine-Snapshots zu verwenden, die auf den meisten Macs vorhanden sind. Damit wurden nahezu alle Dateien zugänglich, inklusive denen auf der Daten-Partition, die dem User gehören.
Auslesbar waren Files von grundsätzlich jedem User auf dem System – obwohl dies Apples Schutz-Framework TCC, das schon in der Vergangenheit mit Sicherheitsproblemen auf sich aufmerksam gemacht hatte, eigentlich verhindern soll. Fitzl konnte sogar über den Gast-Zugang auf dem System Dateien von Admins auslesen.
Terminal mit Full Disk Access
Der Sicherheitsexperte fand heraus, dass das TCC-Framework bei lokal gemounteten Snapshots nicht griff – egal mit welchen Privilegien ein User auch ausgestattet war. Apples Fix ist allerdings nicht unproblematisch. Mit macOS 10.15.4 wird mount_apfs ebenfalls in TCC einbezogen. Allerdings funktioniert das nur, wenn der vollständige Festplattenzugriff (Full Disk Access, FDA) für das macOS-Terminal deaktiviert ist.
Problematisch daran ist vor allem, dass die FDA-Einstellungen für das Terminal auf dem Mac für alle Nutzer gelten. Hat ein Admin dem Terminal vollen Zugriff erlaubt, können auch andere User es verwenden, um den apfs_mount-Trick einzusetzen – selbst solche ohne Admin-Rechte. Fitzl zufolge verletzt dies weiterhin das grundlegende BSD-Sicherheitsmodell. Apple hat sich auf seine dementsprechenden Anmerkungen hin nicht erneut gemeldet – gab nur durch, dass man dies "untersuche". Für Nutzer zeigt sich, dass sie mit Full Disk Access für das Terminal sehr vorsichtig umgehen sollten.
Quelle: macOS-Sicherheitslücke: Komplettes Dateisystem ohne Zugriffsrechte auslesbar | heise online
Update 03.08.2020:
TCC-Absicherung in macOS "komplett geknackt"
Einem Sicherheitsexperten ist es gelungen, Apples eigentlich drakonische "Entitlement Checks" zu umgehen. Das Problem wurde gepatcht.
Erneut Sicherheitsprobleme im Rahmen einer macOS-Funktion, die eigentlich dafür sorgen soll, dass Apps nicht einfach tun und lassen können, was sie wollen: Einem Security-Forscher ist es gelungen, das Framework Transparency, Consent, and Control (TCC) zu umgehen, über das Anwendungen eigentlich sogenannte Entitlements anfordern müssen, um auf sensible Systembereiche zuzugreifen. Dank TCC wird dem Nutzer dann eine Abfrage präsentiert, ob er das überhaupt zulassen möchte.
Datenbank direkt manipulierbar
Wie der Sicherheitsexperte Matt Shockley festgestellt hat, war es bis vor kurzem erstaunlich einfach möglich, die Funktion zu umgehen. Dabei schaute er sich den Daemon an, der TCC-Nachfragen verwaltet und diese mit einer SQLite3-Datenbank abgleicht, die besagte Entitlements enthält.
Ein Bug sorgte nun dafür, dass sich der TCC-Daemon selbst dazu missbrauchen ließ, beliebige Entitlements zu schreiben. Shockley stellte fest, dass Apple den Daemon mittels launchd in der User-Domäne laufen lässt, was wiederum eine Veränderung der $HOME-Umgebungsvariable zuließ.
SIP und TCC griffen nicht für TCC
Ihm gelang es damit, auf ein unter seiner Kontrolle stehendes Verzeichnis zu zeigen, den TCC-Daemon neu zu starten und schließlich dessen Datenbank beliebig zu manipulieren. Zudem stellte Shockley fest, dass er TCC komplett zurücksetzen konnte. Eigentlich sollte die TCC-Datenbank durch fehlende Entitlement sowie Apples Dateienschutz SIP gar nicht erst beschreibbar sein.
Shockley meldete das Problem im Februar an Apples Produktsicherheitsteam, das sich den Fehler ansah und im April mitteilte, einen Fix vorzubereiten. Dieser erschien dann im Rahmen des Security-Update 2020-004, das am 15. Juli publiziert wurde. Die Fehlerbehebung ist ein weiterer guter Grund, bei macOS auf dem aktuellen Stand der Sicherheitsaktualisierungen zu bleiben.
Quelle: TCC-Absicherung in macOS "komplett geknackt" | heise online